MFA 绕过
本文约需 2 分钟阅读
MFA 绕过是指规避多因素认证 (MFA) 以实现非法访问的攻击手法的统称。MFA 是远比单一密码更强大的防御,但「部署了 MFA 就安全」这种过度自信是危险的。攻击者不断开发出针对 MFA 实现弱点和人类心理的手法,自 2022 年以来,利用 MFA 绕过的大规模入侵接连发生。
AiTM (Adversary-in-the-Middle) 攻击
AiTM 攻击是指攻击者在用户与正规站点之间设置反向代理,中继整个认证过程的手法。它将用户输入的密码和 MFA 验证码实时转发给正规站点,并窃取认证成功后签发的会话令牌。
ID + 密码 + MFA
中继认证信息
认证成功
会话劫持
Evilginx2 是一款将 AiTM 攻击自动化的开源工具,从生成钓鱼页面到提取会话令牌一站式完成。攻击者只需将窃取的令牌设置到自己的浏览器中,就能以已通过 MFA 的会话身份访问账户。它是会话劫持的一种形式,但因其完全绕过 MFA 而比传统手法更为严重。
MFA 疲劳攻击 - Uber 2022 年案例
MFA 疲劳攻击 (MFA Fatigue / MFA Bombing) 是一种针对推送通知型 MFA 的社会工程学手法。攻击者使用窃取的密码反复尝试登录,向受害者的智能手机发送大量推送通知。他们在深夜或清晨持续不断地发送通知,等待受害者误点「批准」。
在 2022 年 9 月的 Uber 入侵事件中,一名 18 岁的攻击者用这种手法突破了员工的 MFA。据称,他在深夜发送大量推送通知后,在 WhatsApp 上冒充 IT 支持联系员工称「不批准的话通知不会停」,从而让员工进行了批准。这一事件让世界认识到 MFA 疲劳攻击的危险性,并促使 Microsoft 和 Okta 为推送通知引入了号码匹配 (Number Matching)。详见我们的MFA 疲劳攻击文章。
通过 SIM 卡交换窃取短信 OTP
SIM 卡交换是指攻击者冒充移动运营商,将受害者的电话号码转移到攻击者 SIM 卡上的手法。由于通过短信发送的 OTP (一次性密码) 会送达攻击者的设备,基于短信的 MFA 被完全无效化。已报告了大量高额损失案例,例如 2019 年 Twitter CEO Jack Dorsey 的账户被劫持,以及加密资产交易所的客户资产被窃取等。
会话令牌窃取
只要窃取通过 MFA 后签发的会话令牌 (Cookie),就无需绕过 MFA 本身。信息窃取型恶意软件会提取浏览器中保存的会话 Cookie,并发送到攻击者的 C2 服务器。被窃取的 Cookie 会被用于「pass-the-cookie」攻击,攻击者可以直接接管受害者的会话。详见我们的会话令牌窃取防护文章。
使用抗钓鱼 MFA 进行防护
| MFA 方式 | 抗 AiTM | 抗 MFA 疲劳 | 抗 SIM 卡交换 |
|---|---|---|---|
| 短信 OTP | ✗ | - | ✗ |
| TOTP 应用 | ✗ | - | ✓ |
| 推送通知 | ✗ | ✗ (无号码匹配) | ✓ |
| FIDO2 / 通行密钥 | ✓ | ✓ | ✓ |
抗钓鱼 MFA 是一种对上述所有绕过手法都具有抵抗力的认证方式。在基于 FIDO2 / WebAuthn 的认证中,私钥不会离开设备,并且在认证时会以密码学方式验证来源 (所连接的域名),因此会自动拒绝经由 AiTM 代理的认证请求。
「装了 MFA 就安全」是过时的常识。短信 OTP 和推送通知已经不能算是充分的防御了。我们在两步验证文章中比较了各种方式,在MFA 疲劳攻击文章中讲解了具体的防御策略。
你也可以在 Amazon 上查找认证安全相关书籍。
这篇文章对您有帮助吗?